watchTowr 的安全研究人员在 Citrix 会话记录管理器中发现了两个关键漏洞，如果将这两个漏洞串联起来，就可以在 Citrix 虚拟应用程序和桌面上执行未经验证的远程代码 (RCE)。这一发现引起了依赖这些平台的企业的严重关切，因为攻击者可以利用这些漏洞完全控制易受攻击的系统。

这些漏洞被追踪为CVE-2024-8068和CVE-2024-8069，源于权限配置错误的Microsoft Message Queuing（MSMQ）实例的暴露和不安全BinaryFormatter类的使用。这使得攻击者可以从任何主机通过 HTTP 访问有漏洞的 MSMQ 服务，并以 NetworkService 账户的权限执行任意代码。

watchTowr 安全研究员 Sina Kheirkhah 解释说：“一个不小心暴露的 MSMQ 实例可以通过 HTTP 被利用，对 Citrix 虚拟应用程序和桌面执行未经验证的 RCE。”

不过，思杰强调，利用这些漏洞需要攻击者拥有对 Windows Active Directory 域的认证访问权限，并且与目标会话记录服务器位于同一内网上。

Kheirkhah在其博客上发布了对这些漏洞的详细技术分析，并在GitHub上发布了概念验证利用代码，进一步强调了解决这些漏洞的紧迫性。

针对这些发现，思杰发布了安全公告，并敦促客户尽快将会话记录管理器更新到最新的修补版本。受影响的版本包括

Citrix Virtual Apps and Desktops 2407 hotfix 24.5.200.8之前的版本
Citrix Virtual Apps and Desktops 1912 LTSR before CU9 hotfix 19.12.9100.6
Citrix 虚拟应用程序和桌面 2203 CU5 前的 LTSR 热修复程序 22.03.5100.11
Citrix 虚拟应用程序和桌面 2402 CU1 补丁前的 LTSR 24.02.1200.16

微软自己也承认 BinaryFormatter 固有的不安全性，建议将其淘汰，转而使用更安全的替代程序。

Citrix 的会话记录管理器通常被管理员用于 Citrix 虚拟应用程序和桌面的审计、合规性和故障排除。该工具记录用户活动，包括键盘和鼠标输入以及桌面会话视频。如果该漏洞被利用，攻击者就可以在未经授权的情况下访问敏感的用户数据，甚至篡改会话记录，给企业带来严重的隐私和合规问题。

强烈建议使用 Citrix 虚拟应用程序和桌面的企业优先为其系统打补丁，以降低潜在的攻击风险。延迟这些更新可能会使它们遭受严重的安全漏洞和运营中断。

文章原文链接:https://www.anquanke.com/post/id/301782